Informationssikkerhedstjeneste
Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den
version , der blev gennemgået den 22. september 2021; verifikation kræver
1 redigering .
Informationssikkerhedstjenesten er en uafhængig afdeling af virksomheden, der beskæftiger sig med løsning af informationssikkerhedsproblemer i denne organisation. Informationssikkerhedstjenesten bør være en selvstændig enhed og rapportere direkte til den første person i organisationen.
Standardkrav
Informationssikkerhedsstyringsstandarderne indeholder ikke kriterier for oprettelse af en informationssikkerhedstjeneste, der bestemmer dens sammensætning og kompetence
.
De grundlæggende informationssikkerhedsstandarder [1] [2] siger, at "om nødvendigt bør der stilles en informationssikkerhedsspecialist til rådighed i organisationen".
OCT 45.127-99 [ 3] definerer:
Informationssikkerhedstjeneste ( Eng. Service of infosecurity ) er en organisatorisk og teknisk struktur af et informationssikkerhedssystem, der implementerer løsningen af en specifik opgave, der har til formål at imødegå en eller anden trussel mod informationssikkerheden.
Den all-russiske klassificering af erhverv for arbejdere, ansattes stillinger og lønkategorier (OK 016-94) [4] giver følgende navne på informationssikkerhedsenheder (informationsbeskyttelse):
- en uafhængig forskningsafdeling (laboratorium, bureau, gruppe) for omfattende informationsbeskyttelse;
- en uafhængig videnskabelig og teknisk afdeling (laboratorium, bureau, gruppe) for omfattende informationsbeskyttelse.
Behovet for at oprette en virksomhedsinformationssikkerhedstjeneste
I øjeblikket er tilfælde af hackerangreb , epidemier af computervirus blevet hyppigere, hvis truslen ikke elimineres i tide, kan dette føre til irreversible konsekvenser, såsom tyveri af fortrolige oplysninger, adgangskoder. Selvom behovet for at oprette denne afdeling er indlysende, forsømmer mange organisationer det, nogle tildeler ansvaret for at sikre informationssikkerheden til systemadministratoren, andre køber dyr software . Det skal bemærkes, at informationssikkerhed er et kompleks af organisatoriske og tekniske tiltag, og tekniske løsninger alene er ikke nok her.
Funktioner af Enterprise Information Security Service
- Organisering og koordinering af arbejde relateret til beskyttelse af information på virksomheden;
- Forskning i informationsbehandlingsteknologi for at identificere mulige kanaler for lækage og andre trusler mod informationssikkerheden, dannelse af en trusselsmodel, udvikling af en informationssikkerhedspolitik, fastlæggelse af foranstaltninger rettet mod dens gennemførelse;
- Udvikling af udkast til reguleringsmæssige og administrative dokumenter, der opererer inden for organisationens, virksomhedens grænser, i overensstemmelse med hvilke beskyttelsen af informationer på virksomheden skal sikres;
- Identifikation og neutralisering af trusler;
- Registrering, indsamling, opbevaring, behandling af data om alle hændelser i systemet, der er relateret til informationssikkerhed;
- Dannelse af en forståelse blandt virksomhedens personale og brugere af behovet for at overholde kravene i lovgivningsmæssige retsakter, regulatoriske og administrative dokumenter relateret til området informationsbeskyttelse.
Sammensætning af Enterprise Information Security Service
Strukturen og antallet af Enterprise Security Service afhænger af størrelsen af organisationen, aktivitetsområdet og niveauet af fortrolighed af oplysninger. Informationssikkerhedstjenestens antal og sammensætning skal være tilstrækkelig til at udføre alle sikkerheds- og informationsbeskyttelsesopgaver.
Noter
- ↑ National standard for Den Russiske Føderation "Informationsteknologi. Praktiske regler for informationssikkerhedsstyring” (GOST R ISO / IEC 17799 - 2005) Arkiveret den 22. marts 2009. .
- ↑ National standard for Den Russiske Føderation "Metoder og midler til at sikre sikkerhed. Del 1. Konceptet og modellerne for sikkerhedsstyring af informations- og telekommunikationsteknologier "(GOST R ISO / IEC 13335-1 - 2006) .
- ↑ OCT 45.127-99 System til sikring af informationssikkerheden i Den Russiske Føderations sammenkoblede kommunikationsnetværk. Begreber og definitioner.
- ↑ Dekret fra Den Russiske Føderations statsstandard af 26. december 1994 N 367 (som ændret den 18. juli 2007) "Om vedtagelse og implementering af den all-russiske klassificering af erhverv for arbejdere, ansattes stillinger og lønkategorier OK 016-94.”>
Se også